Com o letsencrypt, os certificados precisam ser renovados a cada 90 dias. Toda vez que um certificado é renovado, a propriedade dos domínios incluídos no certificado deve ser comprovada novamente.
É possível fazer isso adicionando um registro _acme-challenge DNS. É possível definir esse registro DNS na primeira vez em que é usado para validação e reutilizá-lo para validações subseqüentes, para que não seja necessário definir um novo registro DNS toda vez que os certificados precisarem ser renovados?
Não seria criptograficamente seguro reutilizar o mesmo desafio.
Se fosse reutilizado, qualquer pessoa poderia receber um certificado para o seu nome de domínio, porque os dados "corretos" já estavam lá!
É por isso que um novo desafio é emitido a cada vez.
Tags lets-encrypt